このトピックでは、Managed Service for Microsoft Active Directory でグループ マネージド サービス アカウント(gMSA)を作成する方法について説明します。これらの標準の手順に従ってアカウントを設定し、Managed Microsoft AD に関する次の特別な考慮事項を組み込む必要があります。
KDS ルートキーを作成しないでください
通常、ドメインで初めて gMSA を作成する際には、キー配布サービス(KDS)のルートキーを生成する必要があります。Managed Microsoft AD は、ドメインの作成時に KDS ルートキーを生成するため、標準の手順からこの手順をスキップできます。
KDS ルートキーを表示する
まず、Active Directory Sites and Services のツールがリモート サーバー管理ツール(RSAT)からインストールされていることを確認します。
KDS ルートキーを表示するには、次の手順を実行します。
- Windows で、Active Directory Sites and Services ツールを起動します。このツールを起動するには、[実行] コマンド ダイアログ ボックスを開いてから、
dssite.msc
を入力します。 - [Active Directory Sites and Services] ツールで、[表示] タブを選択します。
- [表示] メニューから、[Show Services Node] を選択します。
- 左側のペインで、[サービス] > [Group Key Distribution Service] > [Master Root Keys] を選択します。
- 右側のペインには、ドメインのキーの一覧が表示されます。キーを選択すると、その詳細が表示されます。
なお、Get-KdsRootKey
PowerShell コマンドレットを実行すると、有効な KDS ルートキーが存在するにもかかわらず空のレスポンスが返されます。キーが表示されるのは、Get-KdsRootKey
コマンドレットをドメイン管理者として実行した場合のみです。
Managed Service Accounts
コンテナでアカウントを作成する
Managed Microsoft AD ドメインの場合、新しい gMSA は Managed Service Accounts
コンテナの下に作成する必要があります。デフォルトでは、New-ADServiceAccount
コマンドレットはこのロケーションに新しい gMSA を作成します。詳細については、New-ADServiceAccount
コマンドレットをご覧ください。
Managed Service Accounts
の管理を委任する
Managed Service Accounts
コンテナの管理をユーザーに委任するには、Cloud Service Managed Service Account Administrators
グループに追加します。Managed Microsoft AD が作成するグループの詳細については、グループをご覧ください。